「管理画面 -> 一般設定 -> セッション管理の設定」を以下のように設定します。

2009/08/26 追記
※以前は [User Agentチェック] を [True] としていましたが、IE8 (Internet Explorer 8) の無責任な仕様とバグのため、[False] としないとセッションの引き継ぎができない場合がありますので仕方がなく [False] としています。
但しこれはセキュリティ上あまり好ましくないので、良い方法を模索中です。

セキュリティ対策を考えると「クッキー利用を必須にする」を TRUE とすべきなのですが、そのような設定で運用すると、SSL ページと非 SSL ページ間で URL のドメイン部が変り、クッキーの引き継ぎが出来なくなります。

また、xrea / coreserver の共用 SSL の仕様のため、Zen Cart のデフォルトの状態では SSL 通信が誤判定され、SSL 通信が外れてしまう事があります。以下のファイルに変更を加え、SSL 通信を誤判定を防ぎます。

includes/init_includes/init_file_db_names.php

変更前（わかりやすい様に途中改行してあります。）

1
2
3
4
5
6
7
8
9
10
11

/**
 * set the type of request (secure or not)
 */
$request_type = (
    (isset($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) == 'on')
 || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == '1')
 || (isset($_SERVER['HTTP_X_FORWARDED_BY']) && strstr(strtoupper($_SERVER['HTTP_X_FORWARDED_BY']),'SSL'))
 || (isset($_SERVER['HTTP_X_FORWARDED_HOST']) &&  strstr(strtoupper($_SERVER['HTTP_X_FORWARDED_HOST']),'SSL'))
 || (isset($_SERVER['SCRIPT_URI']) && strtolower(substr($_SERVER['SCRIPT_URI'], 0, 6)) == 'https:')
 || (isset($_SERVER['SERVER_PORT']) && $_SERVER['SERVER_PORT'] == '443' )
)  ? 'SSL' : 'NONSSL';

変更後

1
2
3
4
5
6
7
8
9
10
11
12
13
14

/**
 * set the type of request (secure or not)  for coreserver and xrea by zero-office
 */
$request_type = (
    (isset($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) == 'on')
 || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == '1')
 || (isset($_SERVER['HTTP_X_FORWARDED_BY']) && strstr(strtoupper($_SERVER['HTTP_X_FORWARDED_BY']),'SSL'))
 || (isset($_SERVER['HTTP_X_FORWARDED_HOST']) &&  strstr(strtoupper($_SERVER['HTTP_X_FORWARDED_HOST']),'SSL'))
 || (isset($_SERVER['SCRIPT_URI']) && strtolower(substr($_SERVER['SCRIPT_URI'], 0, 6)) == 'https:')
 || (isset($_SERVER['SERVER_PORT']) && $_SERVER['SERVER_PORT'] == '443' )
 || (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && strstr(strtoupper($_SERVER['HTTP_VIA']), 'SS1.CORESSL.JP:3128')) /* for coreserver*/
 || (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && strstr(strtoupper($_SERVER['HTTP_VIA']), 'SS1.XREA.COM:3128')) /* for xrea ss1 */
 || (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && strstr(strtoupper($_SERVER['HTTP_VIA']), 'SS2.XREA.COM:3128')) /* for xrea ss2 */
)  ? 'SSL' : 'NONSSL';

以前に、 zen-cart.jp の掲示板には、REMOTE_ADDR を ネットワーク内のローカル IP で判定する方法を書きましたが、これをアップデートして、汎用性を持たせてあります。

※この記事の内容を自分で書いたかのようにそのまま転用されている方がいます。
転載等するのであれば、その文章が転載である旨、転載元をきちんと明記してください。

Zen Cart のセッション情報は、ログイン時に発行される一意の文字列 zenid で管理されます。
その内容は、初期設定ファイルの内の設定によって、データベースに一時的に収納されるか、または指定のディレクトリーにファイルとして保存され、セッションの推移に伴い随時、参照・更新されていきます。

zenid は、基本的にはブラウザのクッキー (Cookie) （期限設定無し）に保存されます。
勘違いしやすいのですが、これは「セッション管理の設定/クッキー使用」の有効 (TRUE) / 無効 (FALSE) に関わらず、ブラウザのクッキーが許可されている場合は、クッキー (Cookie) を利用し zenid を引き継ぎ維持しようとします。この設定が有効 (TRUE) であればクッキー (Cookie) 使用が強制となり、ブラウザのクッキー (Cookie) が不許可の場合や、SSL サーバーなどでドメインが変更されるためクッキー (Cookie) の引き継ぎが不可能な場合などは、zenid 発行時にクッキー (Cookie) の設定をオンにすることを促すメッセージ (index.php?main_page=cookie_usage) が表示されます。

「セッション管理の設定/クッキー使用」の設定が無効 (FALSE) の設定で、ブラウザのクッキーが不許可、または、SSL サーバーなどでドメインが変更されるためクッキー (Cookie) の引き継ぎが不可能な場合などは、ブラウザに渡される URL に付け足される形で zenid を引き継ぎます。この際、URL を呼び出すのに、zen_href_link() 等 Zen Cart のリンク関数を用いていれば関数内の処理で自動的に zenid 追加されますが、独自カスタマイズなどを加えていて直接 URL をベタ書きしている様な場合は、クッキー (Cookie) 不可環境での zenid の引き継ぎが不可能になり、ログイン状態が維持できなくなったりカートの内容が空になってしまう様な現象が現れます。

クッキー (Cookie) 不可環境に対応する、または SSL サーバーを別ドメイン名で運用する場合などは、前記「セッション管理の設定/クッキー使用」の設定を無効 (FALSE) としなければなりません。しかし、前記の様に zenid が URL に付加されるためセキュリティ上は好ましくありません。このような場合は、「SSLセッションIDチェック」、「User Agentチェック」、「IPアドレスチェック」、「ロボット(スパイダー)のセッションを防止」、「セッション再発行」の各項目を有効 (TRUE) とし、セッションなりすまし防止等、セキュリティ対策をする必要があると思います。